Eine Alternative zur KI der Big Tech-Unternehmen · Essay 6 von 7

Ein Kontrollturm, kein Wachturm

Um etwas in großem Maßstab zu betreiben, muss man im Blick behalten, wie es läuft. Die Frage ist, ob das Tool, das man dafür entwickelt, ein Kontrollturm oder ein Wachturm ist.

Zusammenfassung. Jeder Plattformbetreiber steht vor derselben Versuchung. Um einen Dienst in gutem Zustand zu halten, ist Überwachung erforderlich: Man muss wissen, was nicht funktioniert, was langsam ist und wo die Nutzer unzufrieden sind. Das Instrument, das man entwickelt, um diese Dinge zu erkennen, ist per Definition ein Überwachungsinstrument, denn dieselbe Konsole, die den Systemzustand anzeigt, lässt sich in der Regel so umfunktionieren, dass man die Nachrichten aller Nutzer einsehen kann. Die „Big Tech“-Unternehmen lösen dieses Problem, indem sie dem Betreiber Einblick in alles gewähren und dies als „Administration“ bezeichnen. Wir haben ein Instrument anderer Art entwickelt. Das Betreiber-Cockpit von „The Village“ meldet den Zustand und Metadaten, kann jedoch die Inhalte der Mitglieder nicht einsehen, und es kehrt die übliche Pyramide um, sodass man umso weniger von einer Einzelperson sieht, je höher man sitzt. Ein Kontrollturm überwacht das System, um dessen Betrieb aufrechtzuerhalten. Ein Wachturm überwacht die Menschen. In diesem Essay geht es um diesen Unterschied, einschließlich des Teils, den wir noch nicht aktiviert haben.

PDF herunterladen Als Folien präsentieren Briefing-PDF

Kernaussagen – tippe auf eine Zeile, um den Abschnitt zu lesen

Wenn Überwachung nicht mehr optional istDas Tool, das man entwickelt, um einen Dienst funktionsfähig zu halten, ist standardmäßig ein Überwachungsinstrument.
  • Etwas in großem Maßstab zu betreiben bedeutet, dass man in der Lage sein muss, zu beobachten.
  • Die natürliche Form dieses Werkzeugs – die „God-View“-Konsole – ist der Wachturm.
  • Big Tech regelt den Administratorzugriff durch Richtlinien und Protokollierung, also durch Versprechen.

Ab einem bestimmten Punkt im Lebenszyklus einer Plattform ist die Überwachung nicht mehr optional. Communities laufen, Mitglieder verlassen sich darauf, und es treten ganz normale Probleme auf: Eine E-Mail-Warteschlange staut sich, ein Server überhitzt sich, jemand meldet um zwei Uhr morgens ein Problem. Jemand muss in der Lage sein, nachzuschauen. Und in dem Moment, in dem man das Tool entwickelt, das dies ermöglicht, hat man eine Entscheidung über Macht getroffen – ob man es beabsichtigt hat oder nicht. Die natürliche Form dieses Tools ist die Admin-Konsole, die „God-View“, das zentrale Dashboard, das jeden Mandanten überblickt. Das ist die Form der Überwachung: eine Position, von der aus alles darunter beobachtet werden kann.

Big Tech baut den Wachturm ganz selbstverständlich. Der Administrator einer Cloud-Plattform kann die Dokumente lesen, die Nachrichten öffnen, die Konten überprüfen. Der Zugriff wird durch Richtlinien und Protokollierung und nicht durch die Architektur geregelt – das heißt, er wird durch Versprechen geregelt. In dieser ganzen Serie geht es darum, warum ein Versprechen die schwache Form einer Sicherheitsmaßnahme ist. Unsere Frage lautete also nie: „Wie können wir alles sicher sehen?“ Sie lautete: „Wie sehen wir das, was wir brauchen, um das System intakt zu halten, und nichts anderes?“

Zwei Arten des BetrachtensEin Wachturm blickt in die Menschen hinein; ein Kontrollturm beobachtet den Zustand des Systems.
  • Ein Fluglotse sorgt für den Abstand zwischen den Flugzeugen, ohne die Passagiere zu kennen.
  • Das Cockpit meldet den Zustand und die Art der Aktivitäten – niemals deren Inhalt.
  • Die Grenze ist dort, wo die Mauer errichtet wird, und nicht eine Einstellung, die man sich merken muss.

Ein Wachturm und ein Kontrollturm sind beide hohe Aussichtspunkte, und damit endet die Ähnlichkeit. Ein Wachturm blickt hinein: Seine Aufgabe ist es, die Menschen unten zu beobachten, und sein Wert wächst, je mehr er von ihnen sieht. Ein Kontrollturm blickt auf: Er überwacht den Zustand des Systems, was sich bewegt und was kurz vor dem Ausfall steht, sodass er niemals in die Fracht hineinschauen muss. Ein Fluglotse hält hundert Flugzeuge voneinander fern, ohne zu wissen oder sich darum zu kümmern, was die einzelnen Passagiere tun. Das ist das Modell, das wir übernommen haben.

Das Cockpit meldet also den Zustand der Plattform und die Art der Aktivität, wobei ihm der Inhalt dieser Aktivität nicht zugänglich ist. Es kann einem Operator mitteilen, dass eine Community diese Woche drei Supportanfragen gestellt hat, dass ein Mailserver ausfällt, dass die Auslastung eines Mandanten steigt, dass eine Nachricht eingegangen ist und um welche Art es sich handelt. Es kann nicht anzeigen, was ein Mitglied an ein anderes Mitglied geschrieben hat. Die Barriere ist dort eingebaut, sodass die Grenze nicht davon abhängt, dass ein Administrator daran denkt, sie zu respektieren.

Was er zeigt und was nichtDashboards melden Zahlen, Absichten und den Systemzustand – niemals die Worte eines Teilnehmers.
  • Mitgliederbeiträge nach Umfang, Warnmeldungen nach Schweregrad, Korrespondenz nach Art, Systemzustand.
  • Ein einziger Sichtbarkeitsmechanismus entscheidet, was für wen sichtbar ist.
  • Durch adversarische Isolationstests gehärtet – es hat 9 von 9 Fällen bestanden.

Das Cockpit setzt sich aus einer kleinen Anzahl von Anzeigen zusammen, von denen jede eine Art von Systemzustand oder eine Zählung anzeigt, niemals Inhalte:

  • Stimmen der Mitglieder: Wie viel Feedback geht ein, nicht was jemand anvertraut hat.
  • Betriebswarnungen: nach Schweregrad sortiert.
  • Eingehende Korrespondenz: die Art von Nachrichten, die eingegangen sind, ohne sie zu öffnen.
  • Governance: Der Zustand des Frameworks selbst.
  • Puls: Der physische Zustand des Systems – Server, Datenbank, Inferenz, Backups, Warteschlangen.

Liest man das Dashboard von oben nach unten, weiß man, wie es um die Plattform steht. Man erfährt nichts, was man zur Überwachung einer Person nutzen könnte, da diese Informationen niemals in das Dashboard gelangen.

Darunter verbirgt sich der am wenigsten glamouröse Teil, der die eigentliche Arbeit leistet: ein einziger Mechanismus, der für jeden Betrachter entscheidet, was für ihn überhaupt im Sichtbereich liegt. Wir haben es so gehärtet, wie man ein Schloss härtet: indem wir es angegriffen haben. Eine Reihe von adversarischen Isolationstests stellte einen Moderator einer Community gegen die Barriere einer anderen und eine untere Ebene gegen den Aufstieg zu einer höheren. Es hielt in neun von neun Fällen stand. „Communities sind isoliert“ ist die Art von Satz, die jede Plattform sagt. Was zählt, ist, ob jemand versucht hat, es absichtlich zu knacken, und aufgeschrieben hat, was passiert ist.

A high-country lake below snow peaks at dusk, Aotearoa New ZealandHöhe erweitert den Blick auf das System, nicht auf die Person.Aotearoa Neuseeland · © My Digital Sovereignty
Je höher man sitzt, desto weniger sieht manDie Sicht auf das System erweitert sich, je höher man steigt; die Sicht auf den Einzelnen verengt sich.
  • Der Moderator sieht seine eigene Community; der Verteiler sieht nur die Metadaten seiner Communitys.
  • Der Plattformbetreiber sieht von einer einzelnen Person weniger als der Moderator zwei Ebenen tiefer.
  • Größe ist kein Freibrief zur Überwachung – das sagt das Design schon in seiner Struktur.

Die entscheidende Umkehrung verläuft entgegengesetzt zur üblichen Funktionsweise von Kontrollmechanismen. In der üblichen Pyramide steigen Autorität und Sichtbarkeit gemeinsam an: Je höher die Position, desto mehr sieht man, bis jemand an der Spitze alles sieht. Das Cockpit von „The Village“ ist für Einzelpersonen umgekehrt gestaffelt. Es gibt drei Blickwinkel:

  • Der Eigentümer oder Moderator einer Community sieht seine eigene Community: die Personen, für die er verantwortlich ist, und die Inhalte, die seine Rolle bereits zulässt.
  • Ein akkreditierter Distributor, der eine Reihe von Communities bereitstellt und betreut, sieht diese Communities nur als Metadaten und in Bezug auf ihren Zustand – wie es jeder einzelnen geht, was Aufmerksamkeit erfordert, den Zustand ihrer Infrastruktur. Niemals die Inhalte der Mitglieder, niemals innerhalb einer einzelnen Community.
  • Der Plattformbetreiber sieht das gesamte System als einen Überblick über den Zustand und die Segmente und erhält weniger Einblick in eine einzelne Person als der Moderator zwei Ebenen unter ihm.

Die Sichtbarkeit des Systems erweitert sich, je höher man steigt; die Sichtbarkeit des Einzelnen verengt sich. Die einzige Person, deren Inhalte jeder sehen kann, ist diejenige, die einem am nächsten steht, in der eigenen Gemeinschaft, und das auch nur, weil ihre Rolle diese Verantwortung bereits mit sich bringt. Steigt man in der Struktur auf, tauscht man Intimität gegen Höhe ein. Größe ist kein Freibrief zur Überwachung.

A weathered bench looking out over rolling farmland, Aotearoa New ZealandEin Aussichtspunkt, der nur zeigt.Aotearoa Neuseeland · © My Digital Sovereignty
Oberflächen, die ihre eigene Zurückhaltung erzwingenJeder Ort, an dem Kontrolle ausgeübt wird, trägt seine Grenzen in der Hardware in sich, nicht nur in den Regeln.
  • Das Wallboard ist konstruktionsbedingt schreibgeschützt – gerätegebundenes Token, keine Aktionssteuerung.
  • Das Tablet des Bedieners erfordert vor jeder Aktion eine erneute Authentifizierung.
  • Angemeldet zu sein ist niemals dasselbe wie handeln zu können.

Die Überwachung muss an einem physischen Ort stattfinden, und jeder Ort, an dem wir sie ansiedeln, bringt seine eigenen Grenzen mit sich – nicht nur in der Software, sondern auch in der Hardware. Das stehende Display, ein Wanddisplay, das auf einem Bildschirm an der Wand rotiert, ist schreibgeschützt: Es läuft mit einem gerätegebundenen, automatisch ablaufenden Token und verfügt über keinerlei Aktionssteuerung. Man kann von dort aus nichts tun, da es nichts gibt, womit man etwas tun könnte. Wo Aktionen möglich sind – auf dem geschützten Tablet des Bedieners, auf das über ein privates Netzwerk zugegriffen wird –, ist zunächst eine neue Step-up-Authentifizierung erforderlich. Angemeldet zu sein ist niemals dasselbe wie handeln zu können. Die Einschränkung ist eine Eigenschaft der Oberfläche, an der der Bediener steht.

A rain squall sweeping over farmland toward the sea, Aotearoa New ZealandWir haben das Tor vor dem Stellantrieb gebaut.Aotearoa Neuseeland · © My Digital Sovereignty
Was wir bewusst nicht aktiviert habenWir haben das Tor vor dem Aktuator gebaut – die Aktionsschicht ist bewusst inaktiv.
  • Das Cockpit kann routinemäßige Korrekturen vorschlagen; die ausführenden Komponenten werden hinter einem Ausschalter verborgen.
  • Vorgeschlagene Aktionen warten in einer Warteschlange darauf, von einem Menschen genehmigt zu werden.
  • Das gesamte Cockpit ist standardmäßig ausgeschaltet – solange es nicht aktiviert ist, gibt es keine Routen.

Um es auf den Punkt zu bringen: Das Cockpit verfügt auch über die Anfänge einer Aktionsschicht, eine Möglichkeit, routinemäßige Korrekturen vorzuschlagen und durchzuführen, wie beispielsweise den erneuten Versuch beim Abruf einer fehlgeschlagenen E-Mail oder die Korrektur einer veralteten Antwort. Wir haben diese Ebene entwickelt, um Maßnahmen vorzuschlagen, nicht um sie auszuführen. Eine vorgeschlagene Maßnahme gelangt in eine Warteschlange, bis ein Mensch sie genehmigt, und die Komponenten, die sie ausführen würden, sind inaktiv und werden durch ein ausgeschaltetes Flag blockiert. Das gesamte Cockpit befindet sich hinter einem Schalter, der standardmäßig ausgeschaltet ist; wo er nicht eingeschaltet ist, sind die Routen einfach nicht vorhanden.

Wir sagen dies ganz offen, weil die Serie es erfordert und weil die Zurückhaltung der springende Punkt ist. Wir haben das Tor vor dem Antrieb gebaut. Ein Überwachungssystem, das eigenständig gemeinschaftsübergreifend agieren könnte, bevor die Mechanismen, die jede Aktion menschengeprüft und im Rahmen des festgelegten Umfangs halten, bewährt waren, wäre genau der Wachturm, den wir bewusst nicht bauen wollten. Also kam das Erkennen zuerst, der Vorschlag an zweiter Stelle, und das Handeln wartet hinter einem Tor, das ein Mensch öffnet oder geschlossen lässt. Ein Modell kann eine Lösung vorschlagen; ein Operator genehmigt sie. Diese Reihenfolge ist dieselbe Grenze, auf die jeder Aufsatz hier zurückkommt, angewendet auf die Menschen, die die Plattform betreiben, und nicht auf die Menschen, die sie nutzen.

Warum dies das Gegenteil dessen ist, was es ersetztEine Überwachung, die die von ihr auferlegten Grenzen respektiert, ist die einzige Art, die eine Plattform ohne Überwachung nutzen kann.
  • Die Konsole der Big Tech trennt Aufsicht und Überwachung lediglich durch Regeln.
  • Das Cockpit überwacht das System, damit es niemals die Menschen überwachen muss.
  • Der Wachturm sieht jeden, um das System zu kontrollieren; der Kontrollturm muss das nie tun.

Stellt man die beiden Architekturen nebeneinander. Die Verwaltungskonsole einer großen Cloud-Plattform ist im Grunde ein Wachturm: eine erhöhte Position, von der aus – vorbehaltlich Richtlinien und Protokollierung – die Inhalte darunter gelesen werden können. Aufsicht und Überwachung sind dort dasselbe Instrument, getrennt nur durch Regeln darüber, wann es auf wen gerichtet wird. Das Cockpit von „The Village“ überwacht den Zustand des Systems so genau, dass es niemals die Menschen beobachten muss, und die Beobachtung von Menschen ist keine Funktion, die die Architektur erlaubt.

Das ist derselbe Kompromiss, den die Serie beschreibt – aus der Perspektive des Betreibers. Die Community ist Eigentümerin ihrer Aufzeichnungen, und der Betreiber kann sie nicht einsehen. Die Community betreibt ein eigenes Modell, und der Betreiber überwacht die Plattform, nicht die Unterhaltungen. Eine Aufsicht, die die von ihr durchgesetzten Grenzen respektiert, ist die einzige Form, die für eine Plattform geeignet ist, die auf dem Prinzip basiert, dass die Menschen darauf nicht das Produkt sind. Der Wachturm sieht jeden, um das System zu steuern. Der Kontrollturm überwacht das System, sodass er niemals jemanden sehen muss. Wir haben den zweiten gebaut und den ersten absichtlich ungebaut gelassen.

„The Village“ ist ein laufendes System, keine Broschüre – sehen Sie es sich unter mysovereignty.digital an und erfahren Sie, wie die Aufsicht für Eigentümer und Moderatoren in der Betreiber-Einweisung definiert ist. Das hier beschriebene Betreiber-Cockpit ist fertiggestellt und wird hinter einem Feature-Schalter in Betrieb genommen; seine Aktionsschicht ist inaktiv und hält vorgeschlagene Korrekturen zur Genehmigung durch Menschen bereit, anstatt sie auszuführen. Die Isolierung, die jeden Blickwinkel in seinem eigenen Geltungsbereich hält, wurde unter adversarischen Bedingungen getestet. – John G. Stroh, My Digital Sovereignty Ltd., Juni 2026.